Beveiligingsinstellingen configureren met behulp van Azure Blueprint
Net zoals een ingenieur of architect een blauwdruk kan gebruiken om de ontwerpparameters voor een project te schetsen, stelt Azure Blueprints cloudarchitecten en centrale IT-groepen in staat om een herhaalbare set Azure-resources te definiëren die voldoet aan de normen, patronen en vereisten van een organisatie en deze implementeert. Met Azure Blueprints kunnen ontwikkelteams snel nieuwe omgevingen bouwen en starten met vertrouwen dat ze voldoen aan de naleving van de organisatie met een set ingebouwde onderdelen, zoals netwerken, om de ontwikkeling en levering te versnellen.
Blauwdrukken zijn een declaratieve manier om de implementatie van diverse resourcesjablonen en andere artefacten te orkestreren, zoals:
- Roltoewijzingen
- Beleidstoewijzingen
- Azure Resource Manager-sjablonen
- Resourcegroepen
De Azure Blueprints-service wordt gesteund door de wereldwijd gedistribueerde service Azure Cosmos DB. Blauwdrukobjecten worden naar meerdere Azure-regio's gerepliceerd. Deze replicatie biedt lage latentie, hoge beschikbaarheid en consistente toegang tot uw blauwdrukobjecten, ongeacht in welke regio uw resources door Azure Blueprints worden geïmplementeerd.
Verschillen van Azure Resource Manager-sjablonen
De service is ontworpen om u te helpen met de setup van de omgeving. Deze installatie bestaat vaak uit een set resourcegroepen, beleidsregels, roltoewijzingen en Implementaties van Azure Resource Manager-sjablonen. Een blauwdruk is een pakket waarmee al deze typen artefacten bij elkaar worden gebracht en u in staat wordt gesteld om dat pakket samen te stellen en versies ervan te beheren, onder andere via een CI/CD-pijplijn voor continue integratie en levering. Uiteindelijk wordt elke blauwdruk toegewezen aan een abonnement in één bewerking die kan worden gecontroleerd en bijgehouden.
Bijna alles wat u wilt opnemen voor implementatie in Azure Blueprints, kan worden bereikt met een Azure Resource Manager-sjabloon. Een Azure Resource Manager-sjabloon is echter een document dat niet systeemeigen bestaat in Azure. Elke sjabloon wordt lokaal of in broncodebeheer of in sjablonen (preview) opgeslagen. De sjabloon wordt gebruikt voor de implementatie van een of meer Azure-resources, maar zodra die resources zijn geïmplementeerd, is er geen actieve verbinding of relatie meer met de sjabloon.
Met Azure Blueprints blijft de relatie tussen de blauwdrukdefinitie (wat moet worden geïmplementeerd) en de blauwdruktoewijzing (wat is geïmplementeerd) behouden. Deze verbinding ondersteunt verbeterde tracering en controle van implementaties. Met Azure Blueprints kunt u bovendien in één keer een upgrade uitvoeren van meerdere abonnementen die zijn onderworpen aan dezelfde blauwdruk.
U hoeft niet te kiezen tussen een Azure Resource Manager-sjabloon en een blauwdruk. Elke blauwdruk kan bestaan uit nul of meer Azure Resource Manager-sjabloonartefacten. Deze ondersteuning betekent dat eerdere inspanningen voor het ontwikkelen en onderhouden van een bibliotheek met Azure Resource Manager-sjablonen herbruikbaar zijn in Azure Blueprints.
Hoe deze verschilt van Azure Policy
Een blauwdruk is een pakket of container voor het samenstellen van focusspecifieke sets van standaarden, patronen en vereisten met betrekking tot de implementatie van Azure-cloudservices, beveiliging en ontwerp, die kunnen worden hergebruikt om consistentie en naleving te behouden.
Een beleid is een systeem voor standaard toestaan en expliciet weigeren dat is gericht op resource-eigenschappen tijdens implementatie en voor reeds bestaande resources. Het ondersteunt cloudgovernance door te valideren dat resources binnen een abonnement voldoen aan vereisten en normen.
Door een beleid op te nemen in een blauwdruk kan het juiste patroon of ontwerp worden gemaakt tijdens het toewijzen van de blauwdruk. De beleidsinsluiting zorgt ervoor dat alleen goedgekeurde of verwachte wijzigingen in de omgeving kunnen worden aangebracht om de voortdurende naleving van de intentie van de blauwdruk te beschermen.
Een beleid kan worden opgenomen als een van de vele artefacten in de definitie van een blauwdruk. Blauwdrukken ondersteunen ook het gebruik van parameters in beleid en initiatieven.
Blauwdrukdefinitie
Een blauwdruk bestaat uit artefacten. Azure Blueprints ondersteunt momenteel de volgende resources als artefacten:
| Resource | Hiërarchieopties | Beschrijving |
|---|---|---|
| Resourcegroepen | Abonnement | Een nieuwe resourcegroep maken voor gebruik door andere artefacten binnen de blauwdruk. Met deze tijdelijke resourcegroepen kunt u resources precies zo indelen als u ze wilt structureren, en het bereik beperken voor opgenomen beleids- en roltoewijzingsartefacten, en ARM-sjablonen. |
| Azure Resource Manager-sjabloon | Abonnement, resourcegroep | Sjablonen, inclusief geneste en gekoppelde sjablonen, worden gebruikt voor het samenstellen van complexe omgevingen. Voorbeeldomgevingen: een SharePoint-farm, Azure Automation State Configuration of een Log Analytics-werkruimte. |
| Beleidstoewijzing | Abonnement, resourcegroep | Hiermee kan een beleid of initiatief worden toegewezen aan het abonnement waaraan de blauwdruk wordt toegewezen. Het beleid of initiatief moet binnen het bereik van de locatie van de blauwdrukdefinitie vallen. Als het beleid of initiatief parameters heeft, worden deze parameters toegewezen bij het maken of toewijzen van de blauwdruk. |
| Roltoewijzing | Abonnement, resourcegroep | Voeg een bestaande gebruiker of groep toe aan een ingebouwde rol om ervoor te zorgen dat de juiste mensen altijd over de juiste toegang tot uw bronnen beschikken. Roltoewijzingen kunnen voor het hele abonnement worden gedefinieerd of genest in een specifieke resourcegroep die in de blauwdruk is opgenomen. |
Locaties van blauwdrukdefinities
Bij het maken van een blauwdrukdefinitie definieert u waar de blauwdruk wordt opgeslagen. Momenteel kunnen blauwdrukken worden opgeslagen in een beheergroep of abonnement waartoe u Inzender-toegang hebt. Als de locatie een beheergroep is, is de blauwdruk beschikbaar voor toewijzing aan elk onderliggend abonnement van die beheergroep.
Blauwdrukparameters
Blauwdrukken kunnen parameters doorgeven aan een beleid/initiatief of een Azure Resource Manager-sjabloon. Tijdens het toevoegen van een van deze artefacten aan een blauwdruk, besluit de auteur om een gedefinieerde waarde op te geven voor elke blauwdruktoewijzing, of toe te staan dat elke blauwdruktoewijzing op het moment van de toewijzing een waarde opgeeft. Dankzij deze flexibiliteit hebt u de optie om een vooraf vastgestelde waarde te definiëren voor elk gebruik van de blauwdruk of om die beslissing te nemen op het moment van toewijzing.
Blauwdruk publiceren
Wanneer een blauwdruk wordt gemaakt, bevindt deze zich in de modus Concept. Wanneer de blauwdruk klaar is om te worden toegewezen, moet deze worden Gepubliceerd. Om een blauwdruk te publiceren moet u een Versie-tekenreeks definiëren (letters, cijfers en afbreekstreepjes, maximaal 20 tekens lang), plus eventuele Wijzigingsnotities. De versie onderscheidt deze blauwdruk van toekomstige gewijzigde versies ervan, en maakt het mogelijk elke versie toe te wijzen. Dit versiebeheer betekent ook dat verschillende versies van dezelfde blueprint kunnen worden toegewezen aan hetzelfde abonnement. Wanneer er extra wijzigingen in de blauwdruk worden aangebracht, bestaat de gepubliceerde versie nog steeds, net zoals de niet-gepubliceerde wijzigingen. Nadat de wijzigingen voltooid zijn, wordt de bijgewerkte blauwdruk Gepubliceerd met een nieuwe en unieke versie, en kan nu ook worden toegewezen.
Blauwdruktoewijzing
Elke gepubliceerde versie van een blauwdruk kan worden toegewezen (met een maximale naamlengte van 90 tekens) aan een bestaande beheergroep of bestaand abonnement. In de portal wordt standaard de versie van de blauwdruk gebruikt die het laatst is gepubliceerd. Als er artefactparameters of blauwdrukparameters zijn, worden de parameters tijdens het toewijzingsproces gedefinieerd.
Notitie
Als u een blauwdrukdefinitie toewijst aan een beheergroep, betekent dit dat het toewijzingsobject bestaat bij de beheergroep. De implementatie van artefacten is nog steeds gericht op een abonnement. Als u een toewijzing van een beheergroep wilt uitvoeren, moet de REST API voor maken of bijwerken worden gebruikt en moet de aanvraagbody een waarde voor properties.scope bevatten om het doelabonnement te definiëren.
Machtigingen in Azure Blueprints
Om blauwdrukken te kunnen gebruiken, moet u zijn gemachtigd via op rollen gebaseerd toegangsbeheer (Azure RBAC). Als u een blauwdruk wilt lezen of bekijken in de Azure-portal, moet uw account leestoegang hebben tot het bereik waarin de definitie van de blauwdruk zich bevindt.
Om blauwdrukken te maken, moet uw account de volgende machtigingen hebben:
Microsoft.Blueprint/blueprints/write- Een blauwdrukdefinitie makenMicrosoft.Blueprint/blueprints/artifacts/write- Artefacten in een blauwdrukdefinitie makenMicrosoft.Blueprint/blueprints/versions/write - Publish a blueprint
Om blauwdrukken te verwijderen, moet uw account de volgende machtigingen hebben:
Microsoft.Blueprint/blueprints/deleteMicrosoft.Blueprint/blueprints/artifacts/deleteMicrosoft.Blueprint/blueprints/versions/delete
Notitie
De machtigingen voor blauwdrukdefinities moeten worden verleend of overgenomen voor het beheergroep- of abonnementsbereik waar deze worden opgeslagen.
Notitie
Wanneer blauwdruktoewijzingen worden gemaakt voor een abonnement, moeten de toewijzings- en toewijzingsmachtigingen voor blauwdrukken worden verleend voor een abonnementsbereik of worden overgenomen in een abonnementsbereik.
Als u een blauwdruk wilt toewijzen of de toewijzing ongedaan wilt maken, heeft uw account de volgende machtigingen nodig:
Microsoft.Blueprint/blueprintAssignments/write- Een blauwdruk toewijzenMicrosoft.Blueprint/blueprintAssignments/delete- De toewijzing van een blauwdruk ongedaan maken
De volgende ingebouwde rollen zijn beschikbaar:
| Azure-rol | Beschrijving |
|---|---|
| Eigenaar | Naast andere machtigingen, bevat alle Azure Blueprints-gerelateerde machtigingen. |
| Inzender | Inzenders kunnen onder meer blauwdrukdefinities maken en verwijderen, maar beschikken niet over machtigingen om blauwdrukken toe te wijzen. |
| Blauwdrukinzender | Blauwdrukinzenders kunnen blauwdrukdefinities beheren, maar deze niet toewijzen. |
| Blauwdrukoperator | Blauwdrukoperator kunnen bestaande publicaties toewijzen, maar kunnen geen nieuwe blauwdrukdefinities maken. De toewijzing van blauwdrukken werkt alleen als de toewijzing wordt uitgevoerd met een door de gebruiker toegewezen beheerde identiteit. |
Als deze ingebouwde rollen niet aan uw beveiligingsbehoeften voldoen, kunt u een aangepaste rol maken.
Notitie
Als u een door het systeem toegewezen beheerde identiteit gebruikt, vereist de service-principal voor Azure Blueprint de rol Eigenaar voor het toegewezen abonnement om implementatie mogelijk te maken. Als u de portal gebruikt, wordt deze rol automatisch verleend en ingetrokken voor de implementatie. Als u de REST API gebruikt, moet deze rol handmatig worden toegekend, maar wordt deze automatisch ingetrokken nadat de implementatie is voltooid. Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, heeft alleen de gebruiker die de blauwdruktoewijzing maakt, deMicrosoft.Blueprint/blueprintAssignments/write machtiging, die is opgenomen in zowel de ingebouwde rollen Eigenaar als Blauwdrukoperator.